Fallbeispiele erfolgreicher IT-Forensik

Fallbeispiele erfolgreicher IT-Forensik (7)

Abgelaufen

App-Daten-Analyse

Mobile Anwendungen enthalten häufig sensible Informationen. Wir extrahieren und analysieren App-Daten wie Chatverläufe, GPS-Standorte, Nutzeraktivitäten oder gespeicherte Inhalte sowohl bei populären Anwendungen wie WhatsApp oder Facebook als auch bei branchenspezifischer Software. Unsere Auswertungen liefern verwertbare Ergebnisse für juristische oder interne Fragestellungen nachvollziehbar dokumentiert und datenschutzkonform.

Praxisbeispiel - Forensische Extraktion und Analyse von App-Daten eines Mobilgeräts zur Aufklärung betrieblicher Unregelmäßigkeiten

Ein Unternehmen aus dem Bereich der Logistik wandte sich mit dem Verdacht an unser forensisches Institut, dass ein Mitarbeiter betriebliche Kommunikationswege über eine nicht autorisierte Messenger-App genutzt haben könnte, um sensible Informationen weiterzugeben. Die interne IT hatte Hinweise auf ungewöhnlichen Datenverkehr festgestellt, der mit einem dienstlich ausgegebenen Smartphone in Verbindung stand. Ziel der Untersuchung war es die auf dem Gerät gespeicherten App-Daten forensisch zu sichern und auszuwerten um etwaige Verstöße gegen interne Richtlinien nachvollziehen zu können.

Das betroffene Mobilgerät wurde unserem Institut unter Beachtung der geltenden Beweissicherungsstandards übergeben und in einer abgeschirmten Umgebung analysiert. Unter Einsatz eines spezialisierten forensischen Extraktionstools wurden sämtliche verfügbaren Anwendungsdaten ausgelesen darunter sowohl lokal gespeicherte Inhalte als auch zwischengespeicherte Serverdaten. Die Extraktion erfolgte physikalisch, sodass auch gelöschte oder versteckte Informationen rekonstruierbar waren.

Besonderes Augenmerk lag auf der Messenger-App die nicht zu den offiziell zugelassenen Kommunikationsmitteln des Unternehmens gehörte. Durch die Analyse der Anwendungsdaten konnten Nachrichtenverläufe Metadaten Kontaktlisten sowie Dateianhänge extrahiert werden. Ein Teil der Nachrichten war zuvor gelöscht worden konnte jedoch durch tiefgreifende Speicheranalyse teilweise wiederhergestellt werden. Die Auswertung ergab, dass dienstliche Informationen darunter Fahrpläne und Kundenanfragen wiederholt über private Kontakte ausgetauscht wurden, was einen klaren Verstoß gegen die betrieblichen Vorgaben darstellte.

Zusätzlich wurde untersucht, ob weitere Anwendungen für unerlaubte Kommunikation oder Datentransfer genutzt wurden. Dabei wurden unter anderem Hinweise auf das Nutzen von Cloudspeichern und alternativen E-Mail-Diensten gefunden, die nicht zentral protokolliert waren. Die Zeitstempel und GPS-Metadaten aus den App-Daten ermöglichten darüber hinaus die Zuordnung einzelner Kommunikationsereignisse zu konkreten Aufenthaltsorten was zur Bewertung der Nutzungssituation beitrug.

Alle Ergebnisse wurden in einem forensischen Bericht dokumentiert der sowohl technische Details als auch juristisch verwertbares Untersuchungsmaterial enthielt. Das Unternehmen nutzte die Analyse als Grundlage für interne Maßnahmen und zur Nachschärfung seiner Mobile-Device-Management-Strategie. Der Fall zeigt eindrucksvoll wie moderne Mobilgeräte forensisch untersucht werden können um auf Anwendungsebene klare und gerichtsfeste Aussagen über Nutzerverhalten und mögliche Richtlinienverstöße zu ermöglichen.